Всё про ЭЦП. Разбираемся в тонкостях электронной подписи

Многие считают, что электронная подпись нужна только в бизнесе, а обычные люди ее не используют и никакие операции с ее помощью не подтверждают. На самом деле в современном мире мы применяем электронную подпись в своей деятельности ежедневно. Например, когда подтверждаем вход в мобильные приложения через SMS-коды или одобряем операции в банковских сервисах – это и есть аналог простой электронной подписи (ПЭП).

На слайде – статистика известной консалтинговой компании (здесь, к сожалению, показана статистика только до 2021 года). Большинство компаний используют простую электронную подпись, а остальные виды подписей (НЭП и КЭП), о которых пойдет речь ниже, используются в меньшинстве, потому что организация их выпуска и использование более трудоемкое.

Сразу уточню, что аббревиатуры ЭЦП и ЭП – это одна и та же электронная подпись, поэтому в большей части доклада будет использоваться укороченный вариант этого названия.

Плюсы и минусы простой электронной подписи

Компании выбирают ПЭП, потому что это удобно, быстро, просто и дешево – фактически бесплатно. Те учетные данные, которые вы используете для авторизации в ваших учетных системах – это и есть простая электронная подпись.

Пример: портал «Работа в России», там используется особый вариант – ПЭП ЕСИА. Чтобы использовать ПЭП ЕСИА, необходимо иметь подтвержденную учетную запись на «Госуслугах» (через банк или МФЦ). Такую подпись может получить любой гражданин, который имеет СНИЛС и паспортные данные.

При входе на портал «Работа в России» вы авторизуетесь через учетную запись «Госуслуг», и получаете эту простую электронную подпись для подписания, внимание, кадровых документов. На текущий момент на портале «Работа в России» есть возможность обмениваться и подписывать только кадровыми документами, которыми вы обмениваетесь вашим работодателем.

Обращу ваше внимание, что при подписании простой электронной подписью на портале «Работа в России» к документу дополнительно добавляется специальный штамп от Федеральной службы по труду и занятости: он подтверждает, что документ после вашего подписания был подписан еще и усиленной подписью. В этом штампе как раз указан номер сертификата электронной подписи и срок действия.

Если вы выгрузите с сайта подписанный документ, то он скачается в виде архива, где будет:

• тот документ, который вы подписали;

• txt-файл с подтверждением того, что вы подписали;

• и дополнительный файл с данными о сертификате, который как раз подтверждает то, что документ был подписан на портале «Работа в России».

Плюсы очевидны. Но почему работодатели уходят от простой электронной подписи?

На слайде приведены наиболее распространенные аргументы о том, почему использовать простую электронную подпись ненадежно и достаточно рискованно в документообороте – причем не только кадровом.

С помощью простой электронной подписи пользователя можно идентифицировать, но нельзя гарантировать, что документ был подписан в конкретный момент времени и после подписания не был изменен. Из-за этих рисков работодатели переходят на другие, более защищенные виды подписей.

Виды электронных подписей

Основным законом, регулирующим использование электронных подписей, является №63-ФЗ.

В законе №63-ФЗ перечислены основные виды подписей, определено, какая из них признается аналогом собственноручной без дополнительных документов, а также описан порядок работы удостоверяющих центров.

В частности, помимо простой электронной подписи в этом законе закреплено еще два вида усиленной подписи:

• Усиленная неквалифицированная электронная подпись (УНЭП или просто НЭП);

• Усиленная квалифицированная электронная подпись (УКЭП или просто КЭП).

Технический механизм по выпуску и подписанию идентичен – что у УНЭП, что у УКЭП – но есть различие в юридической силе:

• УНЭП может быть выпущен даже работодателем – ее получение не требует аккредитации удостоверяющего центра;

• а УКЭП выпускается исключительно аккредитованными центрами, прошедшими проверку ФСБ и Минцифры.

Дальше покажу, как мы это можем проверить.

И недавно появился еще закон №377-ФЗ, который расширяет и уточняет применение электронных подписей для кадрового электронного документооборота и не только. В нем описано еще два других вида подписи:

• ПЭП ЕСИА, которая, как я рассказала ранее, используется для подписания документов на портале «Работа в России». Подчеркну, что на этом портале вы со стороны сотрудника можете использовать не только ПЭП ЕСИА, но и усиленную квалифицированную электронную подпись, если у вас такая есть – можете установить на портале специальный плагин КриптоПро, который используется для подписания документов в браузере, и использовать для подписания документов УКЭП.

• И вторая подпись, о которой идет упоминание в №377-ФЗ – это УНЭП ЕСИА. Она выпускается только в одном мобильном приложении – «Госключ».

Кто уже подписывал документы в «Госключе», тот, наверное, оценил, что это очень удобно. Вы можете просто отправить в это приложение нужные вам документы из «Госуслуг» или из других интегрированных информационных систем и в один клик подписать.

Вот так выглядит само приложение «Госключ» и процесс подписания документов в нем.

Чтобы выпустить подпись УНЭП ЕСИА в Госключе, необходима подтвержденная учетная запись на «Госуслугах».

Причем возможность использования УНЭП ЕСИА в рамках «Госключа» доступна всем гражданам, даже нерезидентам РФ, если они подтвердили свою учетную запись в МФЦ «Мои документы».

В нашем решении EmplDocs также реализована возможность отправлять документы в «Госключ» через API и подписывать их там.

Причем в мобильном приложении «Госключ» можно выпустить не только УНЭП ЕСИА, но и усиленную квалифицированную электронную подпись. Для этого требуется биометрический загранпаспорт нового образца (старого не подойдет) и телефон с NFC (в текущей версии приложения расширен список возможностей по выпуску УКЭП). Выпуск УКЭП занимает несколько минут: сканируете паспорт, включаете NFC и подпись готова. Эта подпись подходит для подписания документов при взаимодействии с организациями и контрагентами, а также вашим работодателем. Вы можете отправить документы с «Госуслуг», выбрать УКЭП для подписания и подписать документы в приложении «Госключ».

Обращу внимание, что десктопной версии «Госключ» пока что нет, есть только мобильное приложение. Также УКЭП не имеет приписки ЕСИА и это не случайно. УКЭП выпускается только аккредитованными УЦ, поэтому отличий у нее нет.

Возвращусь на предыдущий слайд и немного поясню. Есть два вида УНЭП:

• УНЭП по соглашению сторон;

• УНЭП ЕСИА.

Подпись УНЭП ЕСИА («выдана с использованием инфраструктуры электронного правительства») не требует заключения отдельного соглашения о признании этой ЭП с контрагентом — её можно использовать по умолчанию. Доверие к такой подписи обеспечивается самим фактом её выпуска через «Госуслуги» в приложении «Госключ».

Таким образом, появление «Госключа» дало рынку первую полноценную мобильную электронную подпись. В отличие от облачной УКЭП, где подтверждение идет через приложение myDSS, а сам ключ хранится в удостоверяющем центре, здесь ключ хранится в вашем мобильном устройстве в приложении и акцент сделан на удобстве работы через смартфон.

Из чего состоит ЭП?

Из чего вообще состоит электронная подпись? Здесь, конечно же, мы будем рассматривать усиленную подпись, поскольку простая подпись позволяет установить только личность того, кто подписал, и время подписания. А если говорим про усиленную подпись, то она включает в себя следующие ключевые компоненты:

• Сертификат. На закладке «Общие» в сертификате можно увидеть:

  • Кому выдана подпись – физическому лицу или организации; есть и обезличенные сертификаты, используемые, например как раз в интеграции по API с «Госключом»;

  • Кем выдан – это могут быть «Госуслуги», если это неквалифицированная электронная подпись, или ваш удостоверяющий центр, например, «Калуга», «Такском» и так далее (тот удостоверяющий центр, который выдал);

  • Действителен с… по… – срок действия сертификата.

• На закладке «Состав» среди прочих полей размещена информация по открытому ключу. Это следующая часть электронной подписи. Открытый ключ – это набор символов, который является публичной информацией. Он используется для двух целей:

  • Для того, чтобы зашифровать документы. Если мы хотим засекретить передаваемые документы, как раз открытый ключ их зашифровывает, а закрытый – расшифровывает, потому что только владелец закрытого ключа может открыть эти документы.

  • Для проверки подписанных документов. Открытая подпись позволяет нам проверить, что документы не были изменены после подписания и были подписаны именно той электронной подписью, которой мы доверяем.

• И третья часть электронной подписи – это закрытый ключ. Именно он обеспечивает юридическую силу подписи. Для закрытого ключа есть три варианта хранения:

  • В удостоверяющем центре – это облачный формат хранения электронной подписи. В этом варианте ответственность за компрометацию ключей и за доступ к ключам лежит на удостоверяющем центре – в случае утечек расследование будет вестись полностью на стороне УЦ. Когда закрытая часть хранится на стороне УЦ, для подтверждения операции используются дополнительные приложения – myDSS от КриптоПро и другие

  • На токене – это известная и понятная практика. На токене, кстати, можно выпустить не только усиленную квалифицированную подпись, но и неквалифицированную.

  • На вашем мобильном устройстве – так работает «Госключ». Закрытая часть ключа хранится непосредственно на вашем мобильном устройстве в приложении. К ней нет доступа ни у Минцифры, ни у других госслужб – только у вас. Если вы удаляете приложение или переустанавливаете его на другой телефон, вы теряете доступ к этому УКЭП. Если вы забыли пароль на доступ к «Госключу», то вам необходимо заново выпустить эту электронную подпись. Это будет уже новая подпись со своим сроком действия.

Нюансы подписания документов

Подпись может быть присоединенная. В этом случае она вшивается в сам файл документа (PDF, EXCEL, DOC и так далее). Вы подписываете документ, и подпись присоединяется к документу, который вы подписываете. Если за вами подписывает следующий человек, то эта подпись уже накладывается на тот новый документ, который был сформирован в результате подписания.

• Преимущество: все хранится в одном файле, исключен риск потери подписи – грубо говоря, формируется одна папка.

• Недостаток: вы не сможете открыть первичный документ без допсредств – для просмотра нужны специальные программы (например, требуется установка отдельного плагина для PDF).

И второй вариант – отсоединенная подпись, когда при подписании рядом с документом формируется еще один файл (чаще всего, с расширением .sig).

Преимущество этого варианта в том, что можно работать с исходным документом отдельно. А чтобы проверить, что документ подписан, в проверяющую программу нужно загрузить и сам документ, и его sig-файл подписи.

Перейдем к практическим проблемам, которые могут возникнуть при применении электронной подписи.

Почему ЭП может не работать?

В первую очередь корректность работы электронной подписи на вашем устройстве связана с иерархией доверия удостоверяющих центров.

Каждый сертификат ЭП имеет цепочку доверия.

• Для УКЭП на вершине этой цепочки всегда находится Минкомсвязь России (Минцифры) – именно они выпускают корневые сертификаты для всех аккредитованных УЦ.

• В случае на слайде сертификат выдан оператором ПАО «Ростелеком». Обращу внимание, это недействительная подпись. Это сделано не специально, просто приложила скриншот из того, что было под рукой.

• И ПАО «Ростелеком» в данном случае уже выдал подпись Министерству цифрового развития.

Эта достаточно сложная цепочка, но по ней можно четко определить, что мы видим перед собой именно УКЭП и проследить всю иерархию подчиненности сертификатов.

Следующий вариант – УНЭП, усиленная неквалифицированная электронная подпись.

Здесь на вершине цепочки уже стоит не Минкомсвязь России, а «Госуслуги», «Калуга Астрал» или другой оператор – тот удостоверяющий центр, который выдал вам сертификат. Цепочка уже не такая сложная и, в принципе, все прозрачно.

Но тут есть маленький нюанс – когда вы установили на свой компьютер криптопровайдер, загрузили в него свой сертификат подписи и начинаете подписывать документы, система может выдать ошибку, что не найден корневой сертификат.

В этом случае вам необходимо открыть сертификат и проверить, установлены ли все сертификаты в цепочке.

• При применении УКЭП вся цепочка сертификатов всегда является доверенной, и при выпуске сертификата она по умолчанию устанавливается на токен или на ваш компьютер.

• Но для усиленной неквалифицированной электронной подписи (на слайде), корневые сертификаты автоматически не устанавливаются. Это связано с тем, что система не может по умолчанию доверять всем сертификатам, которые вы устанавливаете на свой компьютер. А если цепочка доверия прервана, подпись работать не будет. Решение простое: нужно дважды кликнуть на этот сертификат и установить его как доверенный. При этом появится уведомление – его стоит внимательно прочитать, потому что после подтверждения Windows всегда будет считать данный сертификат надежным.

Есть еще ряд нюансов, которые могут возникать при работе с электронной подписью, но я сейчас хочу обратить внимание на еще одну важную особенность.

Сертификат подписи действует в основном год. И по окончании этого срока возникает вопрос – как доказать, что документ был подписан в период действия сертификата?

Здесь помогает механизм усовершенствованной электронной подписи – при ее использовании в подпись добавляется дополнительная информация, фиксирующая не только данные сертификата, но и момент подписания документа (точную дату и время). Для формирования этих документов механизм при подписании отправляет запросы в две службы:

• Доверенную службу штампа времени, которая формирует специальный документ – штамп времени, где указано точное время плюс данные хэш-функции документа, который мы подписывали. Такие службы штампа времени есть у ФНС и всех удостоверяющих центров. Именно служба штампа времени выдает те документы, которые могут после окончания срока действия сертификата подтвердить, что подписание произошло конкретно в этот момент.

• Служба удостоверяющего центра, которая выдает OCSP-ответы – информацию, что в момент подписания сертификат не был отозван досрочно. Это важно, так как сертификат может формально быть «действующим», но при этом его отозвали раньше срока. Если в момент подписания мы не знаем информацию о тех сертификатах, которые отозваны, документ может оказаться недействительным с юридической точки зрения.

Эти доказательства подлинности дают нам точную информацию: когда конкретно мы подписали документ; и что сертификат подписи на момент подписания действовал и был не отозванным.

Проблемы применения электронной подписи

Немного рассмотрим проблемы применения электронной подписи. Они существуют, хотя такой практики достаточно мало.

Поскольку я в основном специализируюсь на кадровом электронном документообороте, расскажу два примера из этой области. Речь идет о двух работодателях – «Сбер» и «Винлаб». Дело «Винлаба» можно найти в интернете, а материалы по делу «Сбера» уже недоступны – их нет в общем доступе.

В случае со «Сбером» сотрудник обратился в суд, утверждая, что его уволили незаконно – он не подписывал документ увольнения по соглашению сторон своей электронной подписью.

В этом случае речь шла об усиленной неквалифицированной электронной подписи, выпущенной на токене. У «Сбера» такие токены хранили в сейфах, а ответственность за их хранение была на сотруднике. Однако, по словам сотрудника, этот сейф иногда оставался открытым.

Суд проверил:

• документы, которые касались применения этой электронной подписи;

• документы по вводу КЭДО в организации – применительно к КЭДО вообще достаточно много пунктов, которые нужно предусмотреть в компании; поэтому, когда вы, например, организовываете документооборот в вашей компании или с контрагентом, важно предусматривать все эти условия;

• саму электронную подпись, что она действовала на момент подписания: здесь желательно обезопасить себя и предусмотреть в подписи наличие штампов времени и проверку действия сертификатов – преимущества усовершенствованного формата электронной подписи, которые могут предоставлять удостоверяющие центры;

• IP адрес, с которого происходило подписание, и адрес нахождения устройства;

• данные систем контроля и управления доступом, входа в помещение и т.д.

В итоге решение было удовлетворено в сторону работника. Суд признал, что увольнение действительно нелегитимно, отозвал его и взыскал со «Сбербанка» в пользу работника определенную компенсацию.

В следующем кейсе дело также было удовлетворено на стороне работника. В этом случае уже работодатель «Винлаб». Должность работника – грузчик, разнорабочий магазина.

Работник думал, что он подписывал заявление на оплату больничного, а по факту подписал заявление на увольнение по собственному желанию. Бывают и такие случаи, поэтому нужно читать документы, которые вы подписываете, тем более то, что вы устанавливаете на ваш компьютер и что связано с электронной подписью.

Здесь суд, помимо всего прочего, изучил:

• порядок формирования и подписания электронных документов – что документ, который подписывал сотрудник, действительно был передан на сторону удостоверяющего центра, не был изменен или заменен на другой в момент передачи;

• подтверждение авторства подписанного документа, что именно этот работник передал документ для подписания в удостоверяющий центр.

Итог аналогичный: увольнение признали незаконным, сотрудника восстановили, взыскали с работодателя в пользу сотрудника средний заработок за дни вынужденного прогула и компенсацию морального ущерба.

Эти примеры показывают, насколько важно внимательно работать с электронными подписями, проверять документы и использовать все доступные инструменты для подтверждения подлинности подписи.

Статистика утечки персданных

В завершение хочу обратить внимание на важный момент. Я условно назвала его «Статистика горькой правды». Несмотря на общую тенденцию к цифровизации – и в России, и во всем мире – и то, что рано или поздно у каждого из нас будет токен или мобильная подпись, риски при их использовании остаются.

Есть компания InfoWatch – возможно, вы о ней слышали. Она занимается вопросами безопасности в крупных организациях вроде «Газпрома» и «Сбера» и ежегодно публикует статистику утечек, в частности по персональным данным.

Каждый раз, когда вы вводите информацию о себе – будь то номер телефона на «Госуслугах», в банковских приложениях или на других сайтах, – важно понимать, готовы ли вы доверять этой системе. Сайт может быть взломан, а ваши данные – оказаться в даркнете и использоваться в непредсказуемых целях.

Поэтому стоит внимательнее относиться не только к применению электронной подписи, но и к защите любых персональных данных. Это напрямую влияет на вашу безопасность.

Вопросы и ответы

Почему-то при внедрении подписании документов ЭЦП люди вообще не уделяют внимание отметкам времени. Почти ни у кого нет понимания, что неважно, какая подпись – УКЭП или УНЭП. Важнее, что при обращении в суд ты не докажешь, что именно этот документ в это время подписал. Что нужно использовать в своем решении, чтобы получать такие метки?

У «Контура» при использовании API есть определенный метод, при котором у нас как раз возвращается подпись уже с этим штампом времени.

Второй вариант – у налоговой. Мы еще не использовали, но планируем попробовать.

Еще есть 1С:Архив – там тоже есть такая возможность. Мы уже практически завершили исследование. Как вы знаете, что EmplDocs в качестве бэкенда использует 1С:ЗУП, а у 1С:ЗУП пока нет нативной интеграции с 1C:Архивом. Поэтому мы будем делать свою, и скоро она появится.

Мы в этом направлении работаем, мы знаем, как это важно для наших пользователей, клиентов.

У «Госключа» пока нет функции проставления штампа времени, но они обещают сделать.
UPD. У Госключа тоже уже добавлены штампы метки времени сразу после подписания. Недавно об этом рассказала в своем телеграм канале - https://t.me/thankskate/28 .

Вопрос по поводу электронного документооборота, который подписывается ЭЦП. Если возникают проблемы, как это приносить в суд – в виде уже распечатанных документов, где снизу подписи, или в виде электронного архива с приложенными подписями?

Пока судебной практики мало, и если суд ранее не рассматривал подобные дела, он тоже будет изучать эту проблему, потому что экспертизы в суде тоже не особо много.

Я предполагаю, что, скорее всего, судья будет запрашивать не распечатки с «визуальными» штампами, а исходные электронные документы и файлы подписи. Визуальные отметки для компании важны, но юридической силы они не имеют.

Бывает, что сотрудники увольняются, но забывают, что на них все еще зарегистрирована подпись. Работодатель формально может продолжать ее использовать. Особенно это критично в случае, если подпись выпущена на физлицо без указания должности сотрудника. В этом случае человек уходит, но доверенность на него осталась. Имеет ли смысл при увольнении, когда сотрудник уходит, если он знает, что на него выпущена ЭЦП, как-то ее блокировать? Как вообще это происходит и куда нужно обращаться?

С точки зрения УКЭП ее нужно отзывать, и это происходит не в организации. Причем в том, чтобы подпись была отозвана после увольнения, должен быть заинтересован сам владелец подписи. Чтобы отозвать подпись, нужно подать заявление туда, где она была выдана – в УЦ или ФНС. Просто из реестра удалить недостаточно. Нужно лично приехсть и написать заявление.

Ситуация с МЧД осложняется тем, что законодательство пока не дает четкого регулирования всех подобных кейсов. Например, можно выпустить подпись на физлицо без указания должности, и даже после увольнения доверенность формально продолжает действовать. На практике такие вопросы активно обсуждаются на профильных вебинарах с участием ФНС и УЦ, но окончательных разъяснений пока нет.

*************

Статья написана по итогам доклада (видео), прочитанного на конференции INFOSTART TECH EVENT.